【问题标题】:how to use and store token from oauth2 to do authentication如何使用和存储来自 oauth2 的令牌进行身份验证
【发布时间】:2014-01-21 14:35:55
【问题描述】:

抱歉这个问题太宽泛了,但是我必须问这个,因为我正在学习网络开发,我觉得如果不问我不会知道。

所以,我正在使用 oauth2 进行身份验证,现在我已经成功地对用户进行身份验证,现在我正在接收他们所谓的令牌。问题是,您如何使用令牌向您自己的服务器验证用户身份?

我正在考虑创建一个映射到令牌的 cookie,因此当用户采取行动时,每次我都会得到一个 cookie,并且我知道这是用户 A。这样的方法是否安全?如果不是,人们通常以什么方式使用令牌?虽然这只是一个爱好项目,但我想“尽可能真实”。有什么想法吗?

【问题讨论】:

    标签: authentication oauth-2.0


    【解决方案1】:

    据我所知,Oauth2.0 提供了 InMemoryTokenStore 和 JdbcTokenStore 用于持久化令牌。当请求来自经过身份验证的用户时,Oauth2.0 将检查它是否已经具有有效令牌。如果没有,它将创建一个。

    令牌的使用基本上取决于您使用的授权类型。以下是两种常用的授权类型 -

    1) 隐式 - 令牌作为参数在 url 中发回,并包含在参数中的后续请求*中。 2) 授权码 - 在这种情况下,令牌会生成并设置在请求的标头中*。

    *这里的请求是最终发送到资源服务器访问受保护资源的请求。

    我认为您不需要创建 cookie 来存储令牌。如果您使用默认的授权代码授权类型,Oauth2.0 将使用会话存储状态和用于检索令牌的代码。

    【讨论】:

      猜你喜欢
      • 2018-07-22
      • 1970-01-01
      • 2021-05-12
      • 1970-01-01
      • 2020-12-16
      • 2018-11-14
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多